Sécurité

Gestion des mots de passe

Logiciels

• Bitwarden : Solution open source reconnue pour sa sécurité. Elle est largement recommandée dans la communauté pour sa transparence et sa robustesse.

• Proton Pass : Solution de gestion de mots de passe basée entièrement sur le web, donc rien à installer. Des applications mobiles sont disponibles, sur Android et iOS. L’interface est intuitive et bien conçue. C'est une chouette entreprise, mais on est un peu obligé de payer, c'est pas tip top.

Le fonctionnement de ces gestionnaires est simple : un mot de passe maître (idéalement long, complexe et unique) protège l’accès à l’ensemble des identifiants stockés. L’activation de l’authentification à deux facteurs (2FA) est fortement conseillée.

tip

Proton propose une méthode intéressante de génération de mots de passe faciles à mémoriser, sous la forme de suites de mots associés à des chiffres, par exemple : Tubeless5-Tapering1-Subpar9-Compactor3-Conjoined6. Ce format favorise la mémorisation sans compromettre la sécurité.

Utilisation

La première chose à faire est de répertorier tous les mot de passe et tous les sites sur lesquelles on a des données (peu importe la donnée, même si c'est juste un email). On répertorie, on enregistre le mot de passe, le nom de l'utilisateur et le site sur lequel c'est utilisé. Pas besoin de faire tout d'un coup, on peut le faire petit à petit. Le principal c'est de faire les plus critiques d'abord. Les plus critiques sont les sites/applis ou on va souvent, ou bien quand y'a beaucoup de données (donc que le risque est plus important). C'est aussi ceux sur lesquels il y a eu un leak. Par exemple c'est :

• Steam
• Microsoft
• Facebook
• Google
• Apple
• Spotify
• Discord
• Banques
• Paypal

Donc on enregistre ceux-là en priorité, puis pour les autres on le fait petit à petit (quand on en a besoin par exemple, hop on l'enregistre). On peut installer l'extension de navigateur comme ça c'est plus smooth pour l'auto complétion et pour l'enregistrement de mots de passe.

Changement de mot de passe

Maintenant c'est la partie un peu chiante. Il va falloir mettre un mot de passe différent et complexe pour chaque service/site. C'est chiant clairement, chaque site a un système différent, y'a des mots de passe qui sont pas acceptés, l'endroit où changer peut être relou et tout. Mais en règle générale, on fait "mot de passe oublié", ca nous envoie un mail et on peut le reset. Pour avoir un mot de passe fort, on utilise soit le mot de passe suggéré par le gestionnaire, soit Proton Pass et on met par exemple 25 characters, des chiffres, des majuscules et des caractères spéciaux. Une fois qu'on a setup le mot de passe, on l'enregistre dans le gestionnaire et paf, c'est fini.

Double authentification

La double authentification, c'est chouette, mais c'est pas infaillible. Si on peut l'activer, vaut mieux toujours l'avoir que pas de double authentification. Maintenant si on a le choix du moyen de double authentification il vaut mieux éviter :

• SMS
• EMAIL

Et privilégier :

• Appli de double authentification

Les appli de double authentification te fournissent un code qui se reset toutes les 30 secondes. Ce code est basé sur le timestamp au moment où le site génère la double authentification. Du coup, c'est très dur de le cracker. Le seul moyen de double authentification plus efficace que la clé temporelle, c'est la clé physique. Y'a pas mal d'appli qui existent pour ça, mais vaut mieux utiliser Ente Auth, une application open source et vraiment bien foutue.

Pour aller plus loin

Quand une base de données leak, y'a souvent toutes les données associées qui leak. Donc email, numéro de téléphone, adresse... Du coup, dans l'idéal, il faut changer d'adresse mail. Mais si l'email releak, alors faut le rechanger, donc autant ne jamais le changer sinon faut le faire non stop. Proton propose un service vachement sympa (mais payant), qui permet de générer un alias de mail désactivable à chaque instant. En gros, notre adresse mail est totoDu79@protonmail.com, on peut créer un alias facebook-saucisse@protonmail-alias.com qui pointera sur l'adresse toto, mais qui ne sera pas visible par le service (donc on préserve son anonymat) et désactivable si jamais ça leak. Donc au final, on a un mot de passe et un identifiant unique pour chaque service sauf pour les services où il y a besoin d'un numéro de téléphone.

Les bonnes pratiques

Maintenant que tout est propre, il faut éviter d'avoir à tout recommencer en cas de pépin. Pour ça, suffit de suivre quelques principes :

• Eviter de créer des comptes si on en a pas vraiment besoin (on commande des vêtements, pas besoin forcément de créer un compte).
• Toujours enregistrer les mots de passe dans le gestionnaire.
• Mot de passe unique pour chaque service.
• De temps en temps, on fait un petit check de sa liste de mot de passe et on regarde quels comptes on peut supprimer, puis on fait la demande pour les supprimer.
• On donne le moins d'informations possibles quand on crée un compte (pas de numéro de téléphone, pas d'adresse).
• On partage pas les mots de passe à tout va en clair sur Discord ou par SMS.
• On s'inscrit sur le site : https://haveibeenpwned.com/ pour recevoir un mail en cas de leak de database avec nos identifiants dedans.

Voila, si on suit ces principes, même en cas de gros leak, le périmètre de données qui leak est relativement restreint et on peut réagir sans tout perdre ou avoir à refaire.

---

Ressources utiles

• https://account.proton.me/fr/mail/signup
• https://proton.me/pass/password-generator
• https://haveibeenpwned.com/
• https://bitwarden.com
• https://ente.io/auth/